Ferramentas como AIDE e Tripwire não são muito úteis porque só detectam ataques que não são muito inteligentes. Se um invasor puder obter root, ele não precisa se preocupar em modificar binários do sistema, ou pode falsificar dados para o sistema de monitoramento, infectando o kernel. Tripwire pode ser útil na medida em que relata mudanças assim que elas ocorrem, antes que o invasor tenha tempo de apagar seus rastros; isso requer que os logs sejam enviados imediatamente para uma máquina externa que permaneça confiável.
Dito isso, se você quiser saber quais permissões são modificadas como parte da execução de apt-get , é possível rastrear as chamadas do sistema feitas. Interromper o rastreamento após a execução, pois ele pode estar rastreando daemons que são (re) iniciados durante a atualização.
strace -o apt.strace -e openat,write sh -c '
apt-get "$@"
kill $PPID
' apt-get-wrapper upgrade
Seria mais barato usar auditd , mas o problema é como filtrar as alterações que são devidas à execução do APT. Eu acho que você pode fazer isso executando apt-get com um UID de auditoria diferente, que deve ser fácil com um wrapper C; o problema restante seria não executar os daemons reiniciados nessa auditoria, para os quais não tenho uma solução.